Większość polskich portali nie zabezpiecza właściwie webowych klientów poczty
Poczta o2.pl nie cieszy się jakąś szczególnie dobrą opinią.Jej webowemu interfejsowi trudno konkurować z tym, co oferująGmail, Outlook.com czy Yandex, a ilość spamu zapełniającegoskrzynkę odbiorczą (w tym spamu rozsyłanego przez samegooperatora) potrafi zniechęcić. Jeden z czytelników popularnegobloga o bezpieczeństwie (i nie tylko o bezpieczeństwie)Niebezpiecznik.pl odkrył jednak jeszcze jeden problem z pocztąo2.pl – szyfrowanie haseł przesyłanych przez formularz logowaniawebmaila.
Czytelnik „Niebezpiecznika” informował,że w niektórych wypadkach logowanie do skrzynki odbywało się bezszyfrowania. Przy próbie sprawdzenia wiadomości na o2, otrzymywałbłąd 404, podobnie było po wylogowaniu. Nawet gdy logowanie sięudawało, login i hasło były przekazywane bez SSL.
Przeprowadzone przez redakcję bloga testy pokazały, że problemdotyczy przede wszystkim tych, którzy wyłączyli w przeglądarkachobsługę JavaScriptu (lub korzystają z prostych przeglądarek,które w ogóle nie mają silnika skryptowego). Formularz działającypod adresem http://poczta.o2.pl/login nie przekierowuje w takiejsytuacji na swój odpowiednik w szyfrowanym kanale HTTPS. Zdecydowanawiększość użytkowników nie wyłącza jednak z JavaScriptu, więcw ich wypadku przekierowanie następuje poprawnie.
Problem został zgłoszony do o2 – i rozwiązany. Pan JerzyDąbrówka, odpowiedzialny za pocztę Grupy o2 i Wirtualna Polska,wyjaśniał: (…) precyzując, w formularzu logowania na sztywnowpisany był adres „http://”, a przy pomocy JS wykonywaliśmypodmianę, np. z „http://poczta.o2.pl” na „https://poczta.o2.pl”.W tej chwili atrybut „action” formularza logowania zawiera jużadres „https://”, więc dane każdego użytkownika, niezależnieod działania JS, są przesyłane kanałem szyfrowanym.
Na tym problem niestety się jednak nie kończy. Bez względu nato, czy mamy JavaScript włączony, czy też nie, po zalogowaniu sięużytkownik zostaje przekierowany do webowego klienta, działającegoprzez nieszyfrowane HTTP. Oznacza to, że osoby korzystające zotwartych publicznych hotspotów bez szyfrowania, albo siecizabezpieczonych słabiutkim mechanizmem WEP, czytając swoją pocztęna o2, dają zarazem do niej dostęp osobom postronnym oniewygórowanej wiedzy technicznej, korzystającym np. z rozszerzeń do przeglądarek takich jak FireSheep
To zagrożenie dotyczy nie tylko użytkowników poczty o2.pl, aleteż poczty wp.pl i onet.pl. Spośród polskich portali jedynieinteria.pl dostarcza usługę pocztową, zapewniającą szyfrowaniezarówno procesu logowania jak i działania samego webowego klienta(poczta gazeta.pl jest obsługiwana przez Google, stąd nie zostałatu uwzględniona).
